abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 23:45 | Zajímavý software

Na blogu Qt bylo představeno Qt 3D Studio. Jedná se o produkt dosud známý pod názvem NVIDIA DRIVE™ Design Studio. NVIDIA jej věnovala Qt. Jedná se o několik set tisíc řádků zdrojového kódu. Qt 3D Studio bude stejně jako Qt k dispozici jak pod open source, tak pod komerční licencí. Ukázka práce s Qt 3D Studiem na YouTube.

Ladislav Hagara | Komentářů: 0
včera 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
včera 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 7
včera 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 4
19.2. 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 18
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 31
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 3
17.2. 09:00 | Nová verze

Bylo vydáno Ubuntu 16.04.2 LTS, tj. druhé opravné vydání Ubuntu 16.04 LTS s kódovým názvem Xenial Xerus. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 57
17.2. 06:00 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje tvorbě pluginů (modulů) pro bitmapový grafický editor GIMP. Pomocí pluginů lze GIMP rozšiřovat o další funkce. Implementovat lze například nové filtry nebo pomocné utility pro tvorbu animací či poloautomatickou retuš snímků.

Ladislav Hagara | Komentářů: 6
16.2. 23:32 | Komunita

Do 30. března se lze přihlásit do dalšího kola programu Outreachy, jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 30. května do 30. srpna 2017, v participujících organizacích lze vydělat 5 500 USD. Jedná se již o 14. kolo tohoto programu.

Ladislav Hagara | Komentářů: 11
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 670 hlasů
 Komentářů: 53, poslední včera 18:38
Rozcestník
Reklama

Dotaz: openvpn poloviční bridge

25.5.2007 21:52 vpn
openvpn poloviční bridge
Přečteno: 844×
Mám klienta a server. Klient má eth0 192.168.20.5, tap0 10.1.0.2, server má eth0 192.168.0.4, tap0 10.1.0.1. Můj cíl je dostat se do sítě 192.168.0.0/24. Nevím ale jak nastavit routy. Poradíte mi? DOstal jsem se k tomu, že ze serveru pingnu na 192.168.20.5 a z klienta na 192.168.0.4, ale dál už se nedostanu.

Odpovědi

26.5.2007 10:30 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Prosím poraďte, můj kamarád to řeší maškarádou, ale já bych to chtěl naroutovat.
26.5.2007 11:23 Bazin | skóre: 10 | Velvary
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Ja to řešil pomocí Bridge a na to sem spachtil takovjedle skriptík :
#!/bin/bash

#################################
# Nastavení Skriptu pro Ethernet bridge
#Vpn a Natování 
#################################

# nazev Brdige 
br="br0"

#VPN adapter
tap="tap0"


#Nastavení  sitovky
eth="eth0"
eth_ip="192.168.1.5"
eth_netmask="255.255.0.0"
#ip adresa Gateway na internet 
gat="192.168.1.1"
#Stop Vpn serveru
/etc/init.d/openvpn stop

#otevreme Tap0

for t in $tap; do
    openvpn --mktun --dev $t
done


#vymazem Ip adresy 
for t in $tap; do
ip addr flush dev $t
done

for t in $eth; do
ip addr flush dev $t
done

#Promsic mod nastavíme na obe sitovky
for t in $tap; do
ifconfig  $t promisc up
done

for t in $eth; do
ifconfig  $t promisc up
done

#pridame br0
brctl addbr $br
brctl addif $br $eth

for t in $tap; do
    brctl addif $br $t
done

#nazhavime br0

ifconfig $br $eth_ip netmask $eth_netmask up 

#startujem VPN

/etc/init.d/openvpn start
#PRIDAME GATEWAJ
route add default gateway $gat 
26.5.2007 10:40 mozog | skóre: 28
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
ip route add 192.168.0.0/24 via 10.1.0.1 nepomaha ?
26.5.2007 11:29 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
To ale musim mit na klientu ne?, a to mam, jinak bych se nedostal na druhou stranu na server. Problem je v tom, ze se nenaroutuju do ty vzdaleny site na strane serveru, dostanu se jen na vsechna rozhrani toho serveru.
26.5.2007 23:56 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Jak to naroutuju na serveru?
27.5.2007 10:52 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
nijak dokud se to nenaučís....něco si laskavě přečti a nebo by stačilo projevit trochu snahy s vyhledáváním.
27.5.2007 10:58 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Fakt úžasná rada, jinde jsem se akorát dočetl, že je potřeba použít maškarády, ale někdo někde napsal, že to jde i bez ní a tak mě zajímá jak????
27.5.2007 16:29 Bazin | skóre: 10 | Velvary
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
a hele proč to chceš routovat , když to je pohodlně pomocí Bridge a neni to zas tak těžký ???
27.5.2007 16:44 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Tak pokud se ptáš tak blbě
Jak to naroutuju na serveru?
tak mi to připadá, že na linuxu umíš houby. A jestli na něm umíš houby, tak by ses mohl první naučit základy a pak šťourat do pokročilejších věcí. Jinak na openvpn.net je to v howto popsané krásně krok za krokem. Jak s použitím bridge, tak i s "routováním". Vyloženě je to tam napsané jak pro "blbce". Takže začni tam.
27.5.2007 19:09 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Routovat umím, naroutoval jsem už toho hodně. Jen tady se to nechce vůbec chytit. Postupoval jsem standartně: mám routu na tap0, takže se dostanu na druhou starnu an všechna rozhraní serveru ale dál ne, bez maškarády se nehnu, tak sakra jak to udělat? Routy na druhý straně mám taky a nefunguje to. A bridge je most mezi sítěmi, což je trochu zbytečný, když chci připojit 1 klienta ke vzdálený síti. I návody mluvěj o maškarádě u mýho řešení, tak se ptám jestli to jde i naroutovat příp jak a tak mi tady nenadávejte, když asi ani nevíte o co jde.
28.5.2007 16:45 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
jak to máš vůbec nastavené? Jako roadwarrior, nebo tunel pro jednoho klienta? Sdílíš certifikát nebo máš pro každého klienta vlastní? Zkus tohle (rozsahy si doplň sám, udávám jen příklad):

push "route 192.168.1.0 255.255.255.0" ... tvůj VPN klient dostává IP z tohoto rozsahu
push "redirect-gateway" ... tzn. že vzdálený (VPN) server bude zároveň výchozí bránou. Takže cokoli co tvůj PC nezná bude posláno na něj.

Snad nekecám, protože to píšu z hlavy. Jinak žádné jiné routování není potřeba nastavovat (alespoň ve Slackware). OpenVPN mi všechno ostatní obstaralo samo. Včetně routy, včetně IP a ostatních volovin.

PS: vím o co jde, jinak bych se tu neunavoval.
PS1: nenadávám ti, nastavoval jsem to taky z openvpn.net a na poprvé to chodilo.
PS2: vykat mi teda nemusíš.
28.5.2007 18:06 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Dobře, já už totiž nemám trpělivost, protože se to takovou dobu snažím nastavit a nic. Asi tam mám nějakou chybku ale nemážu na to kápnout. To redirect-gateway tam nechci, bránu chci mít moji. Parsnu sem konfigurák serveru a klienta. Trochu jsem pozměnil IP adresy, ale to je tam vidět.
server:

mode server
tls-server
dev tap0
ifconfig 10.1.0.1 255.255.255.0
ifconfig-pool 10.1.0.2 10.1.0.140 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.1.0.1"
push "dhcp-option 192.168.1.1"
port 1194
duplicate-cn

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem

log-append openvpn.log

user openvpn
group openvpn
comp-lzo
verb 3

keepalive 10 120
tls-auth ta.key 0

persist-key
persist-tun
verb 2
status openvpn-status.log

plugin /usr/include/openvpn/auth/auth-passwd/openvpn-auth-passwd.so openvpn

routy: 
10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
default via 192.168.1.1 dev eth0


KLIENT:

remote IP
tls-client
port 1194
dev tap0
pull
mute 10

dhcp-option DOMAIN DOMENA
dhcp-option DNS 192.168.1.1

ca ca.crt
cert client.crt
key client.key

comp-lzo
ping 10
ping-restart 60
ping-timer-rem
verb 3
ns-cert-type server

persist-key
persist-tun
tls-auth ta.key 1

auth-user-pass

routy:
192.168.54.0/24 dev eth0  proto kernel  scope link  src 192.168.54.5
192.168.1.0/24 via 10.1.0.1 dev tap0
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.2
169.254.0.0/16 dev eth0  scope link  metric 1000
default via 192.168.54.1 dev eth0

30.5.2007 16:27 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
No tak prvně, máš ten konfigurák jinačí jak já. Asi jiná verze OpenVPN (1.x) já používám 2.0 ... opravdu netuším. Pak mi připadá vše OK ... jestliže máš routy v obou PC nastavené, tak by to mělo chodit. Jediný problém může být forwarding, netfilter. Nic lepšího mě nenapadá.
30.5.2007 16:52 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Mám verzi 2, ale v tom bych problém nehledal.
30.5.2007 19:00 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
no já mám verzi dva, vycházel jsem z konfiguráků, co jsou i na webu a chodí to naprosto super. Je to krásně a bohatě okomentované. http://openvpn.net/howto.html#server a http://openvpn.net/howto.html#client
30.5.2007 20:49 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
No konfiguráky mi připadají ok, ale v tom návodu je tun zařízení, přes který podle manuálnu nemůžou procházet broadcast pakety a ty já potřebuju.
31.5.2007 17:05 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
A co ti bráni tomu (tak jako mě) tun zařízení zakomentovat a použít tap? Je to přece jen vzorový konfigurák, můžeš jej pozměnit k obrazu svému. Už mě je to furt dokola, přikládám svůj a tímto se všem omlouvám za jeho délku:
local xxx.xxx.xxx.xxx
port 1194
proto udp
dev tap

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

server 10.144.146.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 10.144.146.0 255.255.255.0"
client-config-dir ccd
push "redirect-gateway"
push "dhcp-option DNS 10.144.144.1"
client-to-client

keepalive 10 120
comp-lzo

user nobody
group nobody

persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn
verb 3
28.5.2007 22:29 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
možná blbej dotaz, ale co forwarding, máte povolenej?
28.5.2007 22:58 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
To jsem se nedíval. To je pravda, pokud nenaběhl skript, kterej mi tohle nahazuje tak nemám. Ozvu se.
29.5.2007 06:49 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Jo tak forwarding povolenej mám.
29.5.2007 13:00 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Kde jeste hledat chybu?
29.5.2007 23:25 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Proč neroutuje ta brána? Není potřeba nastavit nějaká prerouting aj, ve firewallu?
30.5.2007 11:11 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
v preroute bych asi nic být nemělo, spíš jak vypadá FORWARD. Věci v PRE(POST)ROUTE by v tom zmatek udělat mohly.
30.5.2007 10:51 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Jo a jak vypadají iptables?
30.5.2007 10:50 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Podle pravidla "nejjednodušší chyby se nejhůř hledaj" - na compu na kterej se chceš připojit, default gateway je adresa vpn serveru?
30.5.2007 11:08 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Máš tady uvedený různý verze IP adres, je v tom trochu zmatek. Ale na straně serveru nevidím route informaci pro síť klienta! Zkus kdyžtak traceroute z obou stran, ať je vidět, kam ty pakety dolezou.
30.5.2007 12:53 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Tabulky v iptables mám prázdý. Já spíš myslel, jestli tam nemá být něco nastaveno. Ta route informace i když tam byla, tak to nejele. A ta default gateway na serveru není adresa vpn serveru, ale to by snad nemělo vadit ne? I když jsem nastavil source base routing, tak to nepomohlo. Nastavil jsem: pokud provoz přichází od klienta 192.168.54.5, máš defaultní bránu ip adresu vpn serveru.
31.5.2007 06:25 misace
Rozbalit Rozbalit vše Re: openvpn poloviční bridge

ještě musí být v síti na straně serveru (192.168.0.0/24) routovací záznam, že vše co jde ke klientovi (192.168.20.5, 10.1.0.2) neposílej na defaultní bránu, ale na ovpn server. Budto se ta routa přidá na počítače na který chceš přistupovat nebo na defaultní bránu sítě 192.168.0.0 .

Bez toho ti paket na cílový počítač dojde, ale odpověd se pak z něj špatně pošle na defaultní bránu někam do internetu...

31.5.2007 11:46 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Přesně to jsem chtěl říct předchozím dotazem
31.5.2007 18:03 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Tak malá změna. Klient:
root@vasek:/home/vasek# ping 192.168.1.5
PING 192.168.1.5 (192.168.1.5) 56(84) bytes of data.
From 10.1.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1: icmp_seq=3 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1 icmp_seq=1 Destination Host Unreachable
From 10.1.0.1 icmp_seq=2 Destination Host Unreachable
From 10.1.0.1 icmp_seq=3 Destination Host Unreachable
From 10.1.0.1: icmp_seq=4 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1: icmp_seq=5 Redirect Host(New nexthop: 192.168.1.5)

--- 192.168.1.5 ping statistics ---
5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4013ms
, pipe 4
root@vasek:/home/vasek# traceroute 192.168.1.5
traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 52 byte packets
 1  10.1.0.1 (10.1.0.1)  7.824 ms  7.555 ms  6.295 ms
 2  10.1.0.1 (10.1.0.1)  3023.844 ms !H  3012.871 ms !H  3014.189 ms !H
server:
server:~# ip route list table main
192.168.54.0/24 dev eth0  proto kernel  scope link  src 10.1.0.1
10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
default via 192.168.1.1 dev eth0

server:~# ip route list table tab2
default via 10.1.0.1 dev tap0

server:~# ip rule
0:      from all lookup 255
201:    from 10.1.0.0/24 to 192.168.1.0/24 lookup tab2
201:    from 192.168.54.0/24 to 192.168.1.0/24 lookup tab2
201:    from all to 192.168.54.0/24 lookup tab2
201:    from all to 10.1.0.0/24 lookup tab2
32766:  from all lookup main
32767:  from all lookup default
31.5.2007 19:15 Martel
Rozbalit Rozbalit vše tak teď už je v tom totální mrd.ník
jaký adresy mají konce toho tapu. Zkus nějak nakreslit topologii tý sítě. A popsat co by to mělo dělat. co má být to rozhraní 10.2.0.4? síť 192.168.54.0 je fakt dosažitelná přez eth0?
31.5.2007 22:59 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
192.168.1.0/24
192.168.54.0/24 - klient 192.168.54.5
  |
ROUTER
eth0 192.168.1.1
eth0:1 192.168.54.1
  |
internet
  |
ROUTER
eth0 192.168.1.1
  |
192.168.1.0/24
  |
openvpn server
eth0 192.168.1.4
tap0 10.1.0.1

Můj cíl je dostat se z 192.168.54.5 do 192.168.1.0/24 skrze openvpn server.
31.5.2007 23:05 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Vítězství, už to jede, stačilo nahradit jeden řádek za 192.168.54.0/24 via 10.1.0.1 dev tap0 a odstranit tabulku tab2.
31.5.2007 23:07 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak ne, byl to planý poplach, omylem jsem nechal po restartu serveru zaplou maškarádu :(
31.5.2007 23:20 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

Proč to nepostavit jednoduše?

eth0:192.168.54.X tun: 10.1.0.1 I I internet I I VPN server tun: 10.1.0.2 eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z I----- PC I----- PC

Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
31.5.2007 23:23 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
nějak jsem zapoměl na pre
31.5.2007 23:22 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

Proč to nepostavit jednoduše?
eth0:192.168.54.X
tun: 10.1.0.1
   I
   I
internet
   I
   I
VPN server
tun: 10.1.0.2
eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z
                                   I----- PC
                                   I----- PC

Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
31.5.2007 23:29 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Ten klient má ještě samozřejmě jedno rozhraní tap0 10.1.0.2. A tak nějak jak jsi to nakreslil bych to chtěl, akorád, že vpn server je normálně součástí sítě, je píchlej do switche jako ostatní počítače, ty nejsou za ním.
31.5.2007 23:31 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
To, že je za routrem nevadí, ale musíš provoz na jeho port Dnat-ovat skrz router (pokud teda nemáš další veřejné IP adresy).
31.5.2007 23:35 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Ve firmě jsme měli (vlastně do půlnoci ještě máme) takhle propojenejch 20 poboček.
31.5.2007 23:41 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Nakonfiguruj si normálně klasicky VPN tunel mezi 2 PC. Jedno PC bude vpn server. Aspoň jedno PC ale musí mít veřejnou adresu (nebo musíš udělat DNAT na jeho port). Pokud použiješ DNAT, musíš na druhé straně dát do confu parametr FLOAT. směrování nastavíš na routeru tak, že provoz na 192.168.54.0/24 bude přeposílat na vpn server.
31.5.2007 23:50 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Z toho výpisu pingu u klienta vidíš, že vpn posílá klientovi zpátky ICMP paket s informací, že klient má přímé spojení se 192.168.1.5 Vpn se pak sám pokouší přeposlat paket na 192.168.1.5, což mu ale logicky nevyjde, protože 192.168.1.5 je na druhém konci tunelu. Protože ale máš síť 192.168.1.0 na obou koncích, nemá smysl posílat do ní paket tunelem.
1.6.2007 00:04 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Já se potřebuju dostat do tý vzdálený sítě 192.168.1.0/24, nepotřebuju, aby se vzdálená síť dostala do mé sítě, stačí mi když se dostane ke mě, takže by 192.168.54.5 mělo stačit, na klientský straně je ta síť 192.168.1.0 jen kvůli kompatibilitě jednoho klienta, já jí vůbec jinak nepoužívám na klientský straně. Ale jinak, proč si to myslí, že 192.168.1.5 je i u klienta a nesnaží se to rvát přes tunel?
1.6.2007 00:27 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No to, že 192.168.1.5 je na klientský straně vyplývá z toho, že na klientský straně je taky síť 192.168.1.0. Nastuduj si, jak probíhá směrování v TCPIP. Pokud je síťová část cílové adresy paketu shodná se síťovou částí adresy některého rozhraní, je posílána přímo přez toto rozhraní.
1.6.2007 06:39 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No ale 192.168.1.5 v klientský síti ani není. A ani nemám standartně nastavený směrování do tý sítě.
1.6.2007 10:34 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Jo, ale na LAN rozhraní klienta máš adresu ze sítě 192.168.1.0
1.6.2007 10:53 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak teď jsem to asi špatně pochopil. Na klientu nemám ip adresu ze sítě 192.168.1.0, je sice fakt, že je spojenej přes stejnej switch ze sítí 192.168.1.0/24, ale všechno routování na 192.168.1.0/24 jde přece přes tap0.
1.6.2007 14:27 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak jsem tu klientskou sít převedl kompletně na 192.168.54.0/24 a žádná změna, takže to tím nebylo.
1.6.2007 20:26 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Ani podle originálního návodu to nejede. :( .............
2.6.2007 08:24 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Mimochodem, proč ti nedělá VPN server přímo hraniční router s internetem (myslím tedy iGW)? Pokud je to píchlé do switche musíš přidat na iGW patřičná pravidla do iptables, aby byl veškerý provoz na port 1194 přesměrován na VPN stroj, ale ten stroj musí zároveň mít v routovací tabulce informace o všech subnetech se u tebe vyskytujících. Myslím, že kdybys udělal VPN přímo na iGW ubydou ti starosti. Možná to máš kvůli shapingu, ale to mě napadlo až teď.
2.6.2007 08:18 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Rozepiš to laskavě pořádně. Nic jako eth0:1 neexistuje. Buď rád, že se diskuze neúčastní p. Kubeček. By ti dal. Smím vědět, proč máš na jednom rozhraní dvě IP adresy? Má to nějaký konkrétní smysl?
2.6.2007 11:17 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Smysl to má dočasný kvůli 1 pc v síti a taky kvůli pokusům. Jinak vpn server je umístěn za routerem taky trochu z technických a blbostních důvodů, port je přesměrován a není shapován. Pokud udělám při pokusu nakonfigurovat openvpn server nějakou botu a openvpn server lehne, nepoznamená to důležitý router. A ty informace o subnetech, tím myslíš konkrétně udělat co?
2.6.2007 16:45 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak jsem dal ten openvpn server na ten router a jsem na tom úplně stejně.
2.6.2007 18:04 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Znova jsem si to prohlédl a napsal na papír a nechápu jednu věc. Takže ty máš na jenom konci internetu (tunelu) subnet 192.168.1.0/24 a na druhém konci internetu (tunelu) máš taky subnet 192.168.1.0/24. Pominu-li tu síť 192.168.54.0/24, kterou tam máš z pokusných důvodů, tak vidím na obou koncích tytéž subnety. To ti ale nebude chodit (leda bridge, ale v tom případě oba routery nesmí mít 192.168.1.1). Musíš na jednom konci prostě použít jiný subnet. Na pokusné IP subnety se vykašli a té mašině, se kterou to zkoušíš, dej normální IP z toho samého subnetu, který používáš normálně na síti. Jednak to zjednodušíš a je-li tam chyba, tak ji neuděláš. Zkus to a dej vědět.
2.6.2007 18:21 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
kecám :-) to by platilo pro obyčejný P2P tunel :-)
2.6.2007 18:28 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
EE, 192.168.1.0/24 na klientský straně je z pokusných důvodů. Ale teď už je to jedno, co jsem to dal na router a přidal volbu local, už to jede, díky za rady.
2.6.2007 18:05 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
HHHUUURRRÁAA, už to jede. Stačilo v server.conf uvést local VER_IP_ADRESA.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.